El ejercicio de los derechos en materia de protección de datos

A continuación se expone cómo debe actuar la ciudadanía que desee ejercer sus derechos en materia de protección de datos personales.
Etiquetas
protección de datos

ÍNDICE DE CONTENIDOS.

  1. Forma de iniciación del procedimiento y su duración
  2. Admisión a trámite de las reclamaciones
  3. Determinación del alcance territorial
  4. Actuaciones previas de investigación
  5. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora
  6. Medidas provisionales y de garantía de derechos

 

El procedimiento regulado en los casos de posible vulneración de la normativa de protección de datos.

De acuerdo con lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su modificación operada en virtud de la Disposición Final 9ª de la Ley 11/2023, de 8 de mayo, el procedimiento tramitado por la Agencia Española de Protección de Datos (AEPD) será de aplicación en los casos en los que:

  • La parte afectada reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en el Reglamento (UE) 2016/679, de 27 de abril, es decir, derechos de: acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, notificación relativa a la rectificación o supresión de datos personales o limitación del tratamiento, portabilidad de los datos, oposición y decisiones individuales automatizadas, incluida la elaboración de perfiles.
  • La AEPD investigue la existencia de una posible infracción de los dispuesto en el Reglamento Europeo y en la Ley Orgánica 3/2018.

El mencionado procedimiento queda regulado en el título VIII de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales

Volver al principio

Forma de iniciación del procedimiento y su duración.

  • Si el procedimiento se refiere solo a la falta de atención de una solicitud de ejercicio de los derechos mencionados anteriormente, se iniciará por acuerdo de admisión a trámite:
  1. En este caso, el plazo para resolver el procedimiento será de 6 meses a contar desde la fecha en que hubiera sido notificado a la parte reclamante el acuerdo de admisión a trámite.
  2. Pasado dicho plazo, la persona interesada podrá considerar estimada su reclamación.  
  • Si el procedimiento tuviera por objeto la determinación de la posible existencia de una infracción de lo dispuesto en la normativa aplicable:
  1. Se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamación que le será notificado a la persona interesada.
  2. Admitida a trámite la reclamación así como en los casos en los que la AEPD actúe por propia iniciativa, con carácter previo al acuerdo de inicio, podrá existir una fase de actuaciones previas de investigación.
  3. El procedimiento tendrá una duración máxima de 12 meses a contar desde la fecha del acuerdo de inicio.
  4. Pasado tal plazo se producirá su caducidad y, en consecuencia, el archivo de las actuaciones.
  • Cuando así proceda en atención a la naturaleza de los hechos y teniendo en cuenta los criterios sobre imposición de multas establecidos en el artículo 83.2 del Reglamento (UE) 2016/679, de 27 de abril, la AEPD:
  1. Previa audiencia a la entidad responsable encargada del tratamiento, podrá dirigir un apercibimiento, así como ordenar a la entidad responsable o encargada del tratamiento que adopten las medidas correctivas para poner fin al posible incumplimiento de la legislación de protección de datos de una determinada manera y dentro del plazo especificado.
  2. El procedimiento tendrá una duración máxima de 6 meses a contar desde la fecha del acuerdo de inicio.
  3. Pasado tal plazo se producirá su caducidad y, en consecuencia, el archivo de las actuaciones.
  • El procedimiento podrá también tramitarse como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la AEPD tuviera la condición de autoridad de control principal para la tramitación de un procedimiento.
  • Los plazos de tramitación establecidos, así como los de admisión a trámite y de duración de las actuaciones previas de investigación, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades control de los Estados miembros, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la AEPD.
  • El paso de los plazos de tramitación se podrá suspender, mediante resolución motivada, cuando resulte indispensable recabar información de un órgano jurisdiccional

Volver al principio

Admisión a trámite de las reclamaciones.

Cuando se presentara ante la AEPD una reclamación, esta deberá evaluar su admisibilidad a trámite, inadmitiendo las reclamaciones presentadas cuando:

  • No versen sobre cuestiones de protección de datos personales.
  • Carezcan manifiestamente de fundamento.
  • Sean abusivas.
  • No aporten indicios racionales de la existencia de una infracción.

La AEPD podrá, igualmente, inadmitir la reclamación cuando la entidad responsable o encargada del tratamiento, previa advertencia por la AEPD, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la normativa de protección de datos y concurra algo de lo siguiente:

  • Que no haya causado perjuicio a la persona afectada en el caso de las infracciones previstas en el artículo 74 de la Ley Orgánica 3/2018.
  • Que el derecho de la persona afectada quede plenamente garantizado mediante la aplicación de las medidas.

Antes de resolver sobre la admisión a trámite de la reclamación:

  • La AEPD podrá remitir la misma al Delegado o a la Delegada de Protección de Datos que hubiera, en su caso, designado la entidad responsable o encargada del tratamiento, al organismo de supervisión establecido para la aplicación de los códigos de conducta o al organismo que asuma las funciones de resolución extrajudicial de conflictos.
  • La AEPD podrá, igualmente, remitir la reclamación a la entidad responsable o encargada del tratamiento cuando no se hubiera designado un Delegado o una Delegada de Protección de Datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso, la entidad responsable o encargada deberá dar respuesta a la reclamación en el plazo de 1 mes.
  • Si debido a las actuaciones de remisión a la entidad responsable o encargada del tratamiento demuestra haber adoptado medidas para el cumplimiento de la normativa aplicable, la AEPD podrá inadmitir a trámite la reclamación.

La decisión sobre la admisión a trámite o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la autoridad de control principal que se estime competente, deberá notificarse a la parte reclamante en el plazo de 3 meses. Si pasado tal plazo no se produjera esta notificación, se entenderá que:

  • Prosigue la tramitación de la reclamación.
  • Si perjuicio de la facultad de la AEPD de archivar posteriormente y de forma expresa la reclamación.

Tras la admisión a trámite, si la entidad responsable o encargada del tratamiento demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable, la AEPD podrá resolver el archivo de la reclamación. 

Volver al principio

Determinación del alcance territorial.

La AEPD deberá, con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación:

  • Examinar su competencia.
  • Determinar al carácter nacional o transfronterizo del procedimiento a seguir.

Si la AEPD considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento, remitirá sin más trámite la reclamación formulada a la autoridad de control principal que considere competente, a fin de que la misma le dé el curso oportuno. La AEPD deberá notificar esta circunstancia a quien, en su caso, hubiera formulado la reclamación.

El acuerdo por el que se resuelva la remisión anteriormente mencionada implicará el archivo provisional del procedimiento.  

Volver al principio

Actuaciones previas de investigación.

Antes de la adopción del acuerdo de inicio del procedimiento, y una vez admitida la reclamación si la hubiese, la AEPD podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

La AEPD actuará, en todo caso, cuando sea precisa la investigación de tratamientos que implique el tráfico masivo de datos personales.

Las actuaciones previas de investigación no podrán tener una duración superior a 18 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la AEPD actúe por propia iniciativa. 

Volver al principio

Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.

Concluidas, en su caso, las actuaciones previas de investigación, corresponderá a la Presidencia de la AEPD, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán:

  • Los hechos.
  • La identificación de la persona o entidad contra la que se dirija el procedimiento.
  • La infracción que hubiera podido cometerse.
  • Su posible sanción. 

Volver al principio

Medidas provisionales y de garantía de derechos.

Durante la realización de las actuaciones previas de investigación o iniciado el procedimiento para el ejercicio de la potestad sancionadora, la AEPD podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial:

En los casos en que la AEPD considere que la continuación del tratamiento de los datos personales, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de los datos personales, podrá ordenar a las entidades responsables o encargadas de los tratamientos:

  • El bloqueo de los datos.
  • La cesación de su tratamiento.
  • En caso de incumplimiento de lo anterior, proceder a su inmovilización. 

Volver al principio

 

Modelos de presentación de reclamaciones ante la Agencia Española de Protección de Datos. 

La Resolución de 29 de junio de 2023, que aprueba los modelos de presentación de reclamaciones ante la Agencia Española de Protección de Datos. Con respecto a estos modelos:

  • Son de uso obligatorio para las personas interesadas.
  • Sin perjuicio de lo establecido en los artículos 14 y 16.4 de la Ley 39/2015, de 1 de octubre, las reclamaciones deben presentarse preferentemente de forma telemática cumplimentando el formulario accesible en la sede electrónica de la Agencia Española de Protección de Datos (AEPD). Todo ello, a partir del 10 de agosto de 2023, que es cuando surtirá efectos lo establecido en la Resolución mencionada más arriba.
  • Se establecen:
  1. Un modelo normalizado general de reclamación. La información sobre el contenido de este modelo general se puede consultar en el Anexo Primero de la Resolución de 29 de julio de 2023
  2. Un modelo específico de reclamación por desatención por el responsable del tratamiento de una solicitud de ejercicio de los derechos de: acceso, rectificación, supresión (olvido), limitación del tratamiento, portabilidad de los datos, oposición y decisiones individuales automatizadas. La información sobre el contenido de este modelo específico se puede consultar en el Anexo Segundo de la Resolución de 29 de julio de 2023
  3. Un modelo específico de reclamación para la recepción de publicidad directa no deseada. La información sobre el contenido de este modelo específico se puede consultar en el Anexo Tercero de la Resolución de 29 de julio de 2023.
  4. Un modelo específico de reclamación por la instalación de dispositivos de videovigilancia. La información sobre el contenido de este modelo específico se puede consultar en el Anexo Cuarto de la Resolución de 29 de julio de 2023.
  5. Un modelo específico de reclamación por determinados incumplimientos en el tratamiento de datos personales vinculados a deudas. La información sobre el contenido de este modelo específico se puede consultar en el Anexo Quinto de la Resolución de 29 de julio de 2023.
  6. Un modelo específico de reclamación del canal prioritario. La información sobre el contenido de este modelo específico se puede consultar en el Anexo Sexto de la Resolución de 29 de julio de 2023.
  7. Un modelo específico de reclamación por violación de la seguridad de los datos personales. La información sobre el contenido de este modelo específico se puede consultar en el Anexo Séptimo de la Resolución de 29 de julio de 2023
  • Si la reclamación no cumple los requisitos previstos en cada modelo:
  1. Dicha reclamación no surtirá efectos.
  2. Se comunicará dicho extremo a la persona interesada, con requerimiento para que, en su caso, presente una nueva reclamación ajustad a los oportunos requisitos.
  3. La fecha de entrada de la última reclamación presentada es la que se tendrá en consideración a efectos de la admisión a trámite. 

Volver al principio

 

Aspectos importantes que deben tenerse en cuenta a la hora de ejercer los derechos en materia de protección de datos personales.

Estos aspectos pueden ser consultados en la Guía para la Ciudadanía elaborada por la Agencia Española de Protección de Datos. Además, la normativa vigente en materia de protección de datos propicia el ejercicio de los distintos derechos regulados en la normativa (acceso, rectificación, oposición, supresión o derecho al olvido, limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas).

  • Los derechos en materia de protección de datos personales deben ser ejercidos por la persona interesada ante la entidad responsable del tratamiento de los ficheros.
  • Para ejercer los derechos es fundamental e imprescindible que la ciudadanía se dirija de manera fehaciente en primer lugar, a la entidad que trata los datos personales. Si la entidad no respondiera en plazo o la ciudadanía considera que la respuesta no es satisfactoria, podrá solicitar la actuación de la Agencia Española de Protección de Datos (AEPD).
  • Los diferentes derechos en materia de protección de datos son independientes.
  • Ejercer los derechos en materia de protección de datos debe ser un proceso sencillo, gratuito y no puede implicar que la entidad responsable obtenga un ingreso extra por tratar los datos personales.
  • La entidad responsable del tratamiento de los datos personales deberá propiciar la existencia de un procedimiento para ejercer los mismos, aunque la mencionada entidad deberá atender cualquier solicitud adecuadamente presentada que le llegue utilizando cualquier otro procedimiento.  
  • La solicitud realizada a la entidad responsable del tratamiento de los datos personales deberá tener, en virtud de lo que informa la Agencia Española de Protección de Datos, el siguiente contenido mínimo:
  1. Nombre y apellidos de la persona interesada.
  2. Fotocopia del DNI, pasaporte u otro documento identificativos válido y, en su caso, de la persona que lo represente, así como el documento o instrumento electrónico acreditativo de tal representación.
  3. Detalle de lo que se está solicitando.
  4. Dirección a efectos de notificaciones.
  5. Fecha y firma de la persona que presenta la solicitud.
  6. En su caso, documentos acreditativos de la petición que formula.
  • El ejercicio de los distintos derechos deberá ser gratuito.
  • Las solicitudes de los diferentes derechos realizadas a la entidad responsable del tratamiento deben atenderse en plazo de 1 mes (se pueden prorrogar por otros 2 meses más en los casos de complejidad y número de solicitudes).
  • La entidad responsable deberá informar a la persona usuaria sobre los medios de ejercicio de esos derechos.

Si tras haber intentado ejercer sus derechos en materia de protección de datos ante la entidad responsable de su tratamiento, no ha sido posible llevarlo a cabo, podrá presentar una reclamación ante la Agencia Española de Protección de Datos a través de su sede electrónica.

Asimismo, la Agencia Española de Protección de Datos (AEPD) vela por el cumplimiento de la legislación y por el control de su aplicación, y tiene la capacidad de inspeccionar y sancionar las infracciones cometidas en esta materia. Las personas interesadas que crean que se ha podido cometer una infracción en materia de protección de datos personales podrán presentar una denuncia poniendo los hechos en conocimiento de la AEPD. Podrá presentar la mencionada denuncia a través de la sede electrónica de la AEPD.

El escrito a través del que se presente la denuncia deberá tener, en virtud de lo que informa la Agencia Española de Protección de Datos, el siguiente contenido mínimo:

  • Nombre y apellidos de la persona interesada y, en su caso, de la persona que la represente.
  • La identificación del medio preferente o del lugar que señalado para las notificaciones.
  • Hechos ocurridos y petición lo más claro y exacto posibles en los que se funde la denuncia presentada.
  • Firma de la persona solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.
  • Identificación de las entidades presuntamente responsables.
  • Documentos o pruebas que permita comprobar los hechos que se están denunciando.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece:

  • Los derechos reconocidos en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales (acceso; rectificación; supresión o derecho al olvido; limitación del tratamiento; obligación de la notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento; portabilidad de datos; oposición; y decisiones individuales automatizadas), se podrán ejercer directamente o por medio de persona representante legal o voluntaria.
  • La entidad responsable del tratamiento de los datos estará obligada a informar a la persona afectada sobre los medios que tiene a su disposición para ejercer los derechos que le corresponden. Dichos medios deberán ser fácilmente accesibles. El ejercicio de tales derechos no podrá ser denegado por el solo motivo de optar la persona afectada por otro medio.
  • La entidad encargada del tratamiento de los datos podrá tramitar, por cuenta de la entidad responsable, las solicitudes de ejercicio de derechos formuladas por la persona afectada (si así se estableciera en el contrato o acto jurídico que les vincule).
  • La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por la persona afectada recaerá sobre la entidad responsable.
  • Las personas titulares de la patria potestad podrán ejercitar en nombre y representación de las personas menores de 14 años los derechos de acceso, rectificación, cancelación, oposición, o cualesquiera otros que pudieran corresponderles.
  • Serán gratuitas las actuaciones que se lleven a cabo por la entidad responsable del tratamiento para atender las solicitudes de ejercicio de los derechos

La Agencia Española de Protección de Datos pone a disposición de las personas interesadas las respuestas a las consultas más frecuentes y que se refieren a los aspectos competenciales que corresponden a la mencionada Agencia. Asimismo, pone a disposición de las personas una canal para realizar consultas al respecto.

Puede, asimismo, consultar los datos de contacto de la Agencia Española de Protección de Datos.

Volver al principio

 

Si necesita información o asesoramiento en materia de consumo no dude en contactar con nosotros. Le recordamos que estamos a su disposición de forma gratuita y continuada a través del número de teléfono 900 21 50 80, del correo electrónico consumoresponde@juntadeandalucia.es, así como en nuestros perfiles de redes sociales o a través de esta misma página Web. Y si prefiere un servicio de atención presencial, puede acercarse a alguno de los Servicios Provinciales de Consumo, presentes en todas las capitales de provincia andaluzas.

Asimismo, podrá ampliar información en la web de la Agencia Española de Protección de Datos (AGPD).

 

Fuente
Agencia Española de Protección de Datos (http://www.agpd.es)
Enlaces relacionados
Agencia Española de Protección de Datos
Derechos en materia de Protección de Datos
Documentos adjuntos
Modelo general de reclamación ante AEPD.pdf
Modelo específico reclamación ante AEPD desatención solicitud ejercicio derechos.pdf
Modelo específico reclamación ante AEPD recepción publicidad directa no deseada.pdf
Modelo específico reclamación ante AEPD instalación dispositivos videovigilancia.pdf
Modelo específico reclamación ante AEPD incumplimientos tratamientos datos vinculados a deudas.pdf
Modelo específico reclamación ante AEPD canal prioritario.pdf
Modelo específico reclamación ante AEPD violación de la seguridad de los datos personales.pdf
Plantea tus dudas
Valora el contenido:
0
Haz tu consulta